Um pacote de software disponível no repositório oficial do NPM revelou ser na verdade uma fachada para uma ferramenta projetada para roubar senhas salvas do navegador Chrome.
O pacote em questão, denominado " nodejs_net_server " e baixado mais de 1.283 vezes desde fevereiro de 2019, foi atualizado pela última vez há sete meses (versão 1.1.2), com seu repositório correspondente levando a locais inexistentes hospedados no GitHub.
"Não é malicioso por si só, mas pode ser quando colocado no contexto de uso malicioso", disse o pesquisador da ReversingLabs, Karlo Zanki , em uma análise compartilhada com "Por exemplo, este pacote usa-o para roubar senhas maliciosas e exfiltração de credenciais. Mesmo que esta ferramenta de recuperação de senha comercial venha com uma interface gráfica do usuário, os autores de malware gostam de usá-la, pois também pode ser executada a partir do comando linha."
Enquanto a primeira versão do pacote foi publicada apenas para testar o processo de publicação de um pacote NPM, o desenvolvedor, que atendia pelo nome de "chrunlee", fez revisões para implementar uma funcionalidade de shell remoto que foi improvisada em várias versões subsequentes.
Isso foi seguido pela adição de um script que baixou a ferramenta de roubo de senha ChromePass hospedada em seu site pessoal ("hxxps: //chrunlee.cn/a.exe"), apenas para modificá-lo três semanas depois para executar o acesso remoto do TeamViewer Programas.
Curiosamente, o autor também abusou das opções de configuração de pacotes NPM especificados no arquivo "package.json", especificamente o campo " bin " que é usado para instalar executáveis JavaScript, para sequestrar a execução de um pacote legítimo chamado "jstest" - uma cruz -plataforma de teste de JavaScript - com uma variante maliciosa, explorando-a para lançar um serviço via linha de comando que é capaz de receber uma série de comandos, incluindo pesquisa de arquivo, upload de arquivo, execução de comando shell e gravação de tela e câmera.
A ReversingLabs disse que relatou o pacote desonesto à equipe de segurança do NPM duas vezes, uma em 2 de julho e novamente em 15 de julho, mas observou que nenhuma ação foi tomada até o momento para retirá-lo. Entramos em contato com o NPM para maiores esclarecimentos e atualizaremos a história assim que recebermos uma resposta.
Na verdade, o desenvolvimento mais uma vez expõe as lacunas em depender de código de terceiros hospedado em repositórios de pacotes públicos, já que os ataques à cadeia de suprimentos de software se tornam uma tática popular para os agentes de ameaças abusarem da confiança nas ferramentas de TI interconectadas para criar violações de segurança cada vez mais sofisticadas.
"A popularidade crescente dos repositórios de pacotes de software e sua facilidade de uso os tornam um alvo perfeito", disse Zanki. "Quando os desenvolvedores reutilizam as bibliotecas existentes para implementar a funcionalidade necessária de forma mais rápida e fácil, eles raramente fazem avaliações de segurança aprofundadas antes de incluí-las em seus projetos."
"Essa omissão é resultado da natureza esmagadora e da grande quantidade de possíveis problemas de segurança encontrados no código de terceiros. Portanto, em geral, os pacotes são rapidamente instalados para validar se eles resolvem o problema e, caso não o façam, passe para a alternativa. Esta é uma prática perigosa e pode levar à instalação acidental de software malicioso ", acrescentou Zanki.
Atualização: O pacote NPM ofensivo agora foi retirado do repositório, com um porta-voz do GitHub dizendo "Removemos o pacote de acordo com a política de uso aceitável do npm em relação a malware, conforme descrito em seus Termos de Código Aberto ."
Visitar a página do NPM para " nodejs_net_server " agora exibe a mensagem "Este pacote continha código malicioso e foi removido do registro pela equipe de segurança do NPM."
